elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Comunicaciones
| |-+  Redes
| | |-+  Reconstruir un paquete.		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Reconstruir un paquete.  (Leído 3,949 veces)
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Reconstruir un paquete.
« en: 23 Noviembre 2010, 19:24 pm »
Hola! Como va todo? Miren, estoy teniendo un problema, estoy programando con winpcap un sniffer, pero el tema es que quiero reconstruir los paquetes tcp, había econtrado una manera que funciona aparentemente solo con adaptadores ethernet, pero cuando utilizo wi fi, no funciona.

Se que debe existir alguna manera, pero realmente ya no se me ocurre como hacer.
Alguien me podría hechar un poco de claridad??

Gracias!
Un abrazo
APOKLIPTICO
En línea
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
j4np0l


Desconectado Desconectado

Mensajes: 491


Destroying is always easier than creating


Ver Perfil
Re: Reconstruir un paquete.
« Respuesta #1 en: 23 Noviembre 2010, 20:57 pm »
Del FAQ de WinPcap http://winpcap.cs.pu.edu.tw/misc/faq.htm#Q-16

Citar
Wireless adapters: these adapters may present problems, because they are not properly supported by the Windows Kernel. Some of them are not detected, other don't support promiscuous mode. In the best case, WinPcap is able to see an Ethernet emulation and not the real transiting packets: this means that the 802.11 frames are transformed into fake Ethernet frames before being captured, and that control frames are not received.

For real wireless capture, CACE Technologies offers the AirPcap adapter, specifically designed to sniff 802.11 traffic, including control frames, management frames and power information. AirPcap at this time is the only solution for capturing raw 802.11 traffic with WinPcap. More details can be found on the AirPcap product page.

Por lo que entiendo, en el mejor de los casos los frames 802.11 pueden ser transformados en frames Ethernet (y los frames de control se pierden), pero esto no siempre va a ser posible. La recomendación es utilizar Airpcap (que es pago).

La verdad, no es algo que haya tratado de hacer nunca, asi que no estoy un 100% seguro de que no se pueda  ;D. Por ahí alguien que tenga mas experiencia con este tipo de programación te podrá dar una mejor idea.
« Última modificación: 23 Noviembre 2010, 20:59 pm por j4np0l » En línea
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Reconstruir un paquete.
« Respuesta #2 en: 23 Noviembre 2010, 21:05 pm »
Ese es el problema de escribir en los foros, no podés ponerle tono a las cosas, estaba tratando de ser gracioso...

Perdón si a veces sueno como un troll que pretende hacerle la vida imposible a la gente. Realmente no es mi intención.
Simplemente me molesta que la gente ni siquiera trate de escribir de manera inteligible. Gente que escribe mal, lo sabe y ni siquiera puede tomarse el trabajo de usar un corrector ortográfico, releer lo que va a postear para ver si se entiende o aunque sea poner mayúscula al inicio de las oraciones.

Pero bueno, como sugerís que debo responder en esos casos? Y esto lo estoy preguntando en serio, no es sarcasmo ni nada parecido.

En cuanto a mi pregunta, no me refería a paquetes sniffados en capa física digamos. Básicamente lo que quiero hacer, es capturar los datos que entran en un programa, procesarlos y convertirlos a otro formato. Ya tengo todo el programa funcionado, pero cuando lo probé en otra pc, que tiene conexión wi-fi, no funcionó. Despues de debuggear un poco, me di cuenta que no estaba reconstruyendo bien los paquetes que son fragmentados al salir del router.

Hay algún protocolo específico o algoritmo que me permita reconstruirlos de manera correcta??

Gracias!!
En línea
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
T0rete
Colaborador
***
Desconectado Desconectado

Mensajes: 4.926


Ver Perfil WWW
Re: Reconstruir un paquete.
« Respuesta #3 en: 23 Noviembre 2010, 21:07 pm »
El problema parece que está en el método de captura mas que en la reconstrucción en si.
En línea
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Reconstruir un paquete.
« Respuesta #4 en: 23 Noviembre 2010, 21:10 pm »
Nono, estoy usando winpcap, winpcap recibe los paquetes en formato RAW, es decir, con las cabeceras y todo, mi programa filtra las cabeceras y va concatenando lo que recibe hasta que recibe un paquete con las flags FIN y ACK o bien PSH, FIN y ACK. Pero ahora eso no está funcionando, ya que las flags que estoy recibiendo son solo o ACK solo o PSH y ACK, lo que me hace pensar que debe de haber alguna manera que no estoy viendo para reconstruir esos paquetes.
En línea
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
T0rete
Colaborador
***
Desconectado Desconectado

Mensajes: 4.926


Ver Perfil WWW
Re: Reconstruir un paquete.
« Respuesta #5 en: 23 Noviembre 2010, 21:14 pm »
El problema es wincap cuando usa un adaptador wireless se inventa los frames y eso hace que la captura no pueda ser reconstruida.
En línea
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Reconstruir un paquete.
« Respuesta #6 en: 23 Noviembre 2010, 21:16 pm »
Uy... No te puedo creer, no me digas que hice todo este trabajo y ahora no va a funcar...
Que bajooonNN!!!
Bueno, gracias de todas formas, pero aún así, para tenerlo claro, como es la manera correcta de identificar el fin de un paquete fragmentado??

PD: Bueno, al final, encontré otra manera basada en el protocolo del programa que estoy haciendo para identificar el fin de los paquetes segmentados, no es cosher, pero funciona.
« Última modificación: 24 Noviembre 2010, 02:30 am por APOKLIPTICO » En línea
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Reconstruir archivo?
Dudas Generales 		bobgeldof 0 2,032 Último mensaje 20 Septiembre 2010, 18:23 pm
por bobgeldof
Reconstruir una estructura...
Ingeniería Inversa 		Иōҳ 6 3,397 Último mensaje 17 Noviembre 2010, 17:16 pm
por MCKSys Argentina
[?]Reconstruir una estructura...
ASM 		Иōҳ 1 2,887 Último mensaje 16 Noviembre 2010, 20:31 pm
por Eternal Idol
Reconstruir este trozo de código en java
Java 		Tuplado 6 3,298 Último mensaje 16 Octubre 2012, 19:23 pm
por sapito169
Reconstruir un arreglo utilizando imágenes forenses
Dudas Generales 		forensic_style 0 1,606 Último mensaje 15 Octubre 2014, 00:44 am
por forensic_style
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines